BadIIS मालवेयर
साइबर सुरक्षा अनुसन्धानकर्ताहरूले एक परिष्कृत SEO विषाक्त अभियान पत्ता लगाएका छन्, जुन चिनियाँ भाषा बोल्ने धम्की अभिनेताद्वारा गरिएको विश्वास गरिन्छ। आक्रमणहरूले मुख्यतया पूर्वी र दक्षिणपूर्व एशियालाई लक्षित गर्दछ, विशेष गरी भियतनाममा केन्द्रित। यो अभियान BadIIS भनिने मालवेयरसँग सम्बन्धित छ र CL-UNK-1037 नामले ट्र्याक गरिएको छ। उल्लेखनीय रूपमा, धम्की अभिनेताले समूह 9 र DragonRank को रूपमा पहिचान गरिएका संस्थाहरूसँग पूर्वाधार र वास्तुकला ओभरल्याप देखाउँछ।
सामग्रीको तालिका
SEO विषाक्तता कसरी काम गर्छ
SEO विषाक्ततामा प्रयोगकर्ताहरूलाई आर्थिक लाभको लागि जुवा वा वयस्क सामग्री पोर्टल जस्ता अप्रत्याशित वा दुर्भावनापूर्ण वेबसाइटहरू भ्रमण गर्न लगाउन खोज इन्जिन परिणामहरू हेरफेर गर्नु समावेश छ। यस अभियानमा, आक्रमणकारीहरूले वैध तर सम्झौता गरिएका सर्भरहरूबाट दुर्भावनापूर्ण सामग्री प्रदान गर्न नेटिभ IIS मोड्युल, BadIIS को शोषण गर्छन्।
BadIIS कार्यहरूमा समावेश छन्:
- आगमन HTTP ट्राफिकलाई अवरोध र परिमार्जन गर्दै।
- खोज इन्जिन श्रेणीकरणलाई हेरफेर गर्न प्रतिष्ठित वेबसाइटहरूमा किवर्ड र वाक्यांशहरू इन्जेक्ट गर्ने।
- प्रयोगकर्ता-एजेन्ट हेडर प्रयोग गरेर खोज इन्जिन क्रलरहरूबाट आगन्तुकहरूलाई फ्ल्याग गर्ने र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट विषाक्त सामग्री ल्याउने।
यो दृष्टिकोणले सम्झौता गरिएका वेबसाइटहरूलाई लक्षित खोज शब्दहरूको लागि उच्च श्रेणीकरण गर्न अनुमति दिन्छ, अन्ततः शंका नगर्ने प्रयोगकर्ताहरूलाई घोटाला साइटहरूमा रिडिरेक्ट गर्दछ।
आक्रमणको जीवनचक्र
SEO विषाक्तता आक्रमणले बहु-चरण प्रक्रिया पछ्याउँछ:
आकर्षण सिर्जना गर्ने : आक्रमणकारीहरूले हेरफेर गरिएको सामग्री खोज इन्जिन क्रलरहरूलाई पठाउँछन्, जसले गर्दा सम्झौता गरिएको वेबसाइट असंबद्ध खोज शब्दहरूको लागि सान्दर्भिक देखिन्छ।
पासो फैलाउने : ती शब्दहरू खोज्ने पीडितहरूले वैध देखिने तर सम्झौता गरिएका साइटहरू भेट्छन्, जसले तिनीहरूलाई दुर्भावनापूर्ण गन्तव्यहरूमा रिडिरेक्ट गर्दछ।
कम्तिमा एउटा ज्ञात घटनामा, आक्रमणकारीहरूले नयाँ स्थानीय खाताहरू सिर्जना गरेर, वेब शेलहरू तैनाथ गरेर, स्रोत कोड निकालेर, र निरन्तर रिमोट पहुँचको लागि थप BadIIS इम्प्लान्टहरू स्थापना गरेर आक्रमणहरू बढाउन खोज इन्जिन क्रलर पहुँचको फाइदा उठाए।
प्रयोग गरिएका उपकरणहरू र भेरियन्टहरू
धम्की दिने व्यक्तिले SEO हेरफेर र ट्राफिक नियन्त्रण प्राप्त गर्न धेरै उपकरणहरू र भेरियन्टहरू प्रयोग गर्दछ:
- दुर्भावनापूर्ण सामग्री प्रोक्सी गर्नको लागि हल्का ASP.NET पृष्ठ ह्यान्डलर।
सबै इम्प्लान्टहरू खोज इन्जिन परिणामहरू र ट्राफिक प्रवाह नियन्त्रण गर्न अनुकूलित गरिएका छन्, जसले उच्च समन्वित सञ्चालन प्रदर्शन गर्दछ।
विशेषता र भाषिक प्रमाण
अनुसन्धानकर्ताहरूलाई यो गतिविधि चिनियाँ भाषा बोल्ने खतरा अभिनेताद्वारा सञ्चालित छ भन्ने कुरामा उच्च विश्वास छ। यो निष्कर्ष निम्नद्वारा समर्थित छ:
- मालवेयर र पूर्वाधारमा प्रत्यक्ष भाषिक प्रमाण भेटियो।
- समूह ९ क्लस्टरमा अभिनेतालाई जोड्ने वास्तुकला र परिचालन लिङ्कहरू।
अपरेशन रिराइटले कसरी परिष्कृत खतरा अभिनेताहरूले SEO विषाक्तता, IIS कमजोरीहरू, र वेब सर्भर सम्झौताहरूलाई ट्राफिक रिडिरेक्ट गर्न र आर्थिक रूपमा प्रेरित आक्रमणहरू सञ्चालन गर्न प्रयोग गरिरहेका छन् भन्ने उदाहरण दिन्छ।
